2020年 8月 13日、PostgreSQLのマイナーバージョンアップ 12.4、11.9、10.14、9.6.19、9.5.23 がリリースされました。また、13 beta3 もリリースされました。
バグ修正のリリースとなります。以下ページに詳しいリリース内容説明があります。
https://www.postgresql.org/about/news/2060/
以下のセキュリティ修正が含まれます。
- CVE-2020-14349: Uncontrolled search path element in logical replication.
- 10.x、11.x、12.x バージョン系列で該当します。
- 以前の CVE-2018-1058 に対する修正でクライアントプログラム側で search_path のサニタイズを行うようになっていましたが、論理レプリケーションについて対応されていませんでした。本修正で対応されました。
- CVE-2020-14350: Uncontrolled search path element in
CREATE EXTENSION
.- 全バージョン系列で該当します。
- 拡張のインストール時にsearch_pathを使った攻撃の余地があり、contrib として付属している拡張のインストールスクリプトがいくつか修正されました。
コメント